Guten Tag allerseits!
Bietet DATEV die Möglichkeit, den Start des Arbeitsplatzes an eine zusätzliche Authentifizierung zu koppeln, z.B. an die Eingabe eines weiteren, vom Windows-Kennwort unabhängigen, Passworts oder an das gesteckte mIdentity? Bis jetzt habe ich dazu noch nichts gefunden, muss aber auch zugeben, dass ich in Sachen DATEV-Administration noch ganz am Anfang stehe...
Motivation:
Wir benutzen in unserer kleinen Installation von Kanzlei-Rechnungswesen die Authentifizierung per personalisierten mIdentity-Sticks ohne Kommunikationsserver. Es wird also z.B. der Name Erika Mustermann (mustermann@firma.de) der DATEV genannt, die daraufhin diesen Nutzer im RZ anlegt und uns das mIdentity bzw. die einzusetzende SmartCard zuschickt.
Anschliessend legen wir einen gleichlautenden Nutzer im DATEV-Arbeitsplatz an und verknüpfen ihn mit dem zuvor angelegten RZ-Nutzer und Windows Domain User. So weit so gut.
Nun wird ja aber längst nicht für alle Aktionen im DATEV-Arbeitsplatz das mIdentity bzw. dessen PIN benutzt (für welche eigentlich?) und nach der Windowsanmeldung am Terminalserver wird der DATEV-Arbeitsplatz (wegen der Verknüpfung mit dem Domainkonto) immer mit diesem DATEV-Nutzer (o.g. Erika Mustermann) gestartet, ohne dass eine weitere Authentifizierung benötigt wird.
Das heisst in der Konsequenz: eine andere Person mit Kenntnis des Windowskennwortes von Frau Mustermann (Domain Admin...) könnte in Frau Mustermanns Namen Dinge tun oder auch nur sehen, die sie vielleicht nicht tun oder sehen soll. Das wird von einigen Nutzern als nicht optimal empfunden.
Vielen Dank im voraus...
Gelöst! Gehe zu Lösung.
Nein, hat DATEV meines Wissens nach abgeschafft. Früher war es möglich sich per mIDentity anzumelden aber das hat man gegen den reinen Windows-Benutzer ersetzt.
Aber ganz ehrlich? Das Windows AD Kennwort darf bestimmt auch datenschutzrechtlich nur der Benutzer selber wissen. Wenn man da fröhlich das Kennwort untereinander kennt - da hängt ja in der Regel auch ein Exchange dran und dann hätte man auch Zugriff auf die Mails und Co.
Der "Fehler" liegt also nicht bei DATEV, sondern daran, dass Kennwörter nicht vorhanden sind, oder leicht erratbar sind, oder es keine Vorgaben aus der IT gibt oder ...
Das ging schnell, danke.
Zur Frage, wer was wissen darf: ja, das klingt erstmal komisch, dass die Admins hier "alles" sehen können. Mit Blick auf den Aufwand, der hier bei DSGVO-Einführung betrieben wurde, was für Zigarren schon verteilt wurden, als Nutzer in der Vergangenheit mal *untereinander* Passworte weitergegeben hatten, sowie auf die Tatsache, dass mein Abteilungsleiter in solchen Dingen ziemlich pingelig ist, hoffe ich aber mal darauf, dass er die innerbetriebliche Zulässigkeit dieser Politik korrekt auf dem Schirm hat...
... mir war die "Zwangsheirat" von Windows- und Datev-Benutzer auch überhaupt nicht recht.
Früher hatte man ja mit der 'guten alten' NUKO nochmal einen "Türsteher" beim Aufruf des Datev-Arbeitsplatzes.
Jetzt habe ich mich daran gewöhnt, dass man am besten mit der Tastenkombination "WINDOWS-Taste"+"L" (=Lock) mit einem schnellen Griff den Desktop sperren kann, wenn man den Arbeitsplatz verlässt.
@bvdo schrieb:Zur Frage, wer was wissen darf: ja, das klingt erstmal komisch, dass die Admins hier "alles" sehen können.
Na wer darf denn sonst alles sehen? Die Admins müssen aus Prinzip schon alles sehen. Deshalb sind ja normale User auch nur User im AD und haben AD Gruppenmitgliedschaften.
Man kann ja nicht einen User bauen und nur der darf XY sehen. Löscht man den User, kommt man nicht mehr dran? Auch die Datensicherung muss ja prinzipiell Zugriff auf alles haben, sonst kann sie ja nicht alles sichern.
Mit der alten NuKo war das noch möglich aber auch sehr lästig. Auch die hat man im besten Fall mit dem DA verknüpft. Denn mag sein, dass dann DATEV nicht aufgeht aber wie ich erwähnte, haben dann die User Zugriff auf Mails, eigene Dateien, und im schlimmsten Fall gar ein GF Laufwerk, in denen Daten liegen, die sicherlich nicht alle sehen sollen. Und da hängt sich DATEV einfach dran. Ein sauberes AD ist Grundvoraussetzung für alles.
@vogtsburger: Das war schon zu meinen Ausbildungszeiten 2011 bis 2014 Gang und Gebe. Arbeitsplatz verlassen? Windowstaste+L! Ist nichts Neues und mache ich auch heute noch so. Scheint wohl nicht bei allen StBs oder Unternehmen der Fall zu sein.
@metalposaunist, ich hatte nicht davon gesprochen, dass WINDOWS-Taste+"L" eine Innovation ist 😀
... einige altbewährte "Geiergriffe" (Tastenkombinationen) sind leider aus der Mode gekommen, in Vergessenheit geraten oder von dieser Maus-Klickerei und den Wisch&Weg-Gesten verdrängt worden,
z.B. das Rückgängigmachen von Aktionen.
Ich erlebe immer wieder, dass Mitarbeiter viel Zeit verbraten, weil sie z.B. beim Schreiben von Texten oder Zahlen oder bei "zu Guttenberg-Aktionen (Copy&Paste) Handling-Fehler gemacht haben und meinen, alles seit dem letzten Speichern sei verloren.
Übrigens, beim iPad habe ich selbst auch immer wieder mal den Effekt, dass ich nicht weiß, wie ich z.B. einen beim Schreiben versehentlich gelöschten Text wieder zurückholen oder falsche Aktionen im Editor rückgängig machen kann.
@bvdo schrieb:Das heisst in der Konsequenz: eine andere Person mit Kenntnis des Windowskennwortes von Frau Mustermann (Domain Admin...) könnte in Frau Mustermanns Namen Dinge tun oder auch nur sehen, die sie vielleicht nicht tun oder sehen soll. Das wird von einigen Nutzern als nicht optimal empfunden.
Mir ist kein Umstand bekannt warum ein Domänenadministrator ein Benutzerkennwort wissen müsste.
Bei Neuanlage eines Benutzers wird ein Initalkennwort vergeben, danach vergibt sich der Benutzer selbst ein Kennwort.
... und wie werden dann benutzerabhängige Konfigurationen gemacht oder Fehlermeldungen behandelt, ohne sich als Benutzer anmelden zu können ?
Beispiel:
S/Mime-Verschlüsselung in Outlook einrichten